iOS適配https詳解

　　馬上就要元旦了，網上流傳元旦之后蘋果會對所有的app進行https的驗證，據說會拒絕所有沒有使用https的app。但是后來又聽說是我們開發者誤解了，元旦過后還是會支持http，不過開發者需要說明為什么不用https。不過躲得過初一躲不過十五，還是早點適配https好些啊。然后弄了幾天找了好多博客和文檔，才暫時解決了這個問題。所謂https，只不過是在http的基礎上增加了ssl層的驗證（這樣說不是很准確），也就是在原來的數據包的基礎上加密了一下，然而加密的工作不需要我們開發者來做，只需在對的位置做好證書的驗證就行了。其實我對ssl層理解也不深，想着以后有時間一定要把網絡這一塊掌握，不然下次碰到這種問題還是不好解決。廢話不多說，還是先看看代碼吧。

　　首先是對NSURLConnection的適配，不管是原生的還是AF的，歸根結底都是要用它去連接服務器。

　　1.如果使用AF進行網絡數據請求，那么使用如下方法即可：

- (AFSecurityPolicy*)customSecurityPolicy

{
    //先導入證書
    //在這加證書，一般情況適用於單項認證
    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"ailian" ofType:@"cer"];//證書的路徑

    NSData *certData = [NSData dataWithContentsOfFile:cerPath];
    if (certData==nil) {
        return nil;
    }
    // AFSSLPinningModeCertificate 使用證書驗證模式
    
    AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
    
    // allowInvalidCertificates 是否允許無效證書（也就是自建的證書），默認為NO
    
    // 如果是需要驗證自建證書，需要設置為YES
    
    securityPolicy.allowInvalidCertificates = YES;
    
    //validatesDomainName 是否需要驗證域名，默認為YES；
    
    //假如證書的域名與你請求的域名不一致，需把該項設置為NO；如設成NO的話，即服務器使用其他可信任機構頒發的證書，也可以建立連接，這個非常危險，建議打開。
    
    //置為NO，主要用於這種情況：客戶端請求的是子域名，而證書上的是另外一個域名。因為SSL證書上的域名是獨立的，假如證書上注冊的域名是www.google.com，那么mail.google.com是無法驗證通過的；當然，有錢可以注冊通配符的域名*.google.com，但這個還是比較貴的。
    
    //如置為NO，建議自己添加對應域名的校驗邏輯。
    
    securityPolicy.validatesDomainName = NO;
    
    securityPolicy.pinnedCertificates = @[certData];
    
    return securityPolicy;
    
}

　　其實，在這里不需要使用服務器的證書，本人親測過。不過為了保險起見還是加上，還需要注意一點，AF3.0需要用到der格式的證書。

　　然后加上下面的代碼：

　　_manager = [[AFHTTPRequestOperationManager alloc] initWithBaseURL:[NSURL URLWithString:[self getHostURL]]];

      [_manager setSecurityPolicy:[self customSecurityPolicy]];

　　2.如果是原生的NSURLConnection，那么需要在NSURLConnectionDelegate的一個方法里面加代碼，如下：

- (void)connection:(NSURLConnection *)connection
willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
    NSString *thePath = [[NSBundle mainBundle] pathForResource:@"client" ofType:@"p12"];
    //導入證書       NSLog(@"thePath===========%@",thePath);
    NSData *PKCS12Data = [[NSData alloc] initWithContentsOfFile:thePath];
    CFDataRef inPKCS12Data = (__bridge CFDataRef)PKCS12Data;
    
    SecIdentityRef identity = NULL;
    // extract the ideneity from the certificate
    [self extractP12Data:inPKCS12Data toIdentity:&identity];
    
    SecCertificateRef certificate = NULL;
    SecIdentityCopyCertificate (identity, &certificate);
    
    const void *certs[] = {certificate};
    //                        CFArrayRef certArray = CFArrayCreate(kCFAllocatorDefault, certs, 1, NULL);
    // create a credential from the certificate and ideneity, then reply to the challenge with the credential
    //NSLog(@"identity=========%@",identity);
    NSURLCredential *credential = [NSURLCredential credentialWithIdentity:identity certificates:nil persistence:NSURLCredentialPersistencePermanent];
    
    //           credential = [NSURLCredential credentialWithIdentity:identity certificates:(__bridge NSArray*)certArray persistence:NSURLCredentialPersistencePermanent];
    
    [challenge.sender useCredential:credential forAuthenticationChallenge:challenge];
}          

　　接下來是對NSURLSession的適配，現在公認更好的網絡請求類，支持后台的數據下載和上傳，而且自身是安全的。然而，在使用NSURLSession時需要在一個代理方法里配置ssl證書。如下：

- (void)URLSession:(NSURLSession *)session
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler
{
    NSString *method = challenge.protectionSpace.authenticationMethod;
    if([method isEqualToString:NSURLAuthenticationMethodServerTrust]){
        NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
        completionHandler(NSURLSessionAuthChallengeUseCredential, credential);
        return;
    }
    NSString *thePath = [[NSBundle mainBundle] pathForResource:@"client" ofType:@"p12"];
    NSData *PKCS12Data = [[NSData alloc] initWithContentsOfFile:thePath];
    CFDataRef inPKCS12Data = (CFDataRef)CFBridgingRetain(PKCS12Data);
    SecIdentityRef identity;
    // 讀取p12證書中的內容
    OSStatus result = [self extractP12Data:inPKCS12Data toIdentity:&identity];
    if(result != errSecSuccess){
    completionHandler(NSURLSessionAuthChallengeCancelAuthenticationChallenge, nil);
        return;
    }
    SecCertificateRef certificate = NULL;
    SecIdentityCopyCertificate (identity, &certificate);
    const void *certs[] = {certificate};
    CFArrayRef certArray = CFArrayCreate(kCFAllocatorDefault, certs, 1, NULL);
    NSURLCredential *credential1 = [NSURLCredential credentialWithIdentity:identity certificates:(NSArray*)CFBridgingRelease(certArray) persistence:NSURLCredentialPersistencePermanent];
    completionHandler(NSURLSessionAuthChallengeUseCredential, credential1);
}

- (OSStatus) extractP12Data:(CFDataRef)inP12Data toIdentity:(SecIdentityRef*)identity {
    OSStatus securityError = errSecSuccess;
    CFStringRef password = CFSTR("clientepass");
    const void *keys[] = { kSecImportExportPassphrase };
    const void *values[] = { password };
    CFDictionaryRef options = CFDictionaryCreate(NULL, keys, values, 1, NULL, NULL);
    CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
    securityError = SecPKCS12Import(inP12Data, options, &items);
    if (securityError == 0) {
        CFDictionaryRef ident = (CFDictionaryRef)CFArrayGetValueAtIndex(items,0);
        const void *tempIdentity = NULL;
        tempIdentity = CFDictionaryGetValue(ident, kSecImportItemIdentity);
        *identity = (SecIdentityRef)tempIdentity;
    }
    if (options) {
        CFRelease(options);
    }
    return securityError;
}

　　其實適配https沒有我們想象的那么復雜，你找對了地方可能幾分鍾就弄好了，找不到，可能花幾天。不管怎樣，最后適配成功還是要感謝網上的一些大神，雖然官網上面也有答案，但畢竟時間不等人，等我研究透徹，估計蘋果又會有新的東西出來吧。至此，希望能幫到正在為https適配而憂傷的小伙伴們。